サイバー保険を考える:ランサムウェアが引き上げる保険料と予測不能な未来

Ransomware Scourge Drives Price Hikes in Cyber Insurance

2022/07/12 DarkReading — ランサムウェア攻撃がもたらすコスト上昇により、英国/米国でサイバー保険の保険料が大幅に上昇していることが、新しいデータで明らかになった。米国では、過去2年間の平均支払額が $3.5 million を超えており、顧客のセキュリティ指標や対策に直接アクセスしたいと考える、サイバー・セキュリティ保険会社が増えているようだ。サイバー保険業界の現状に関する Panaseer のレポートによると、このような方式の採用により、セキュリティ管理の状況を証明しやすくなるという。

しかし、現状における保険会社は、顧客のセキュリティ態勢を正確に把握することに苦労しており、その結果として値上げに影響を与えられている。

Panaseer の創設者兼会長であるNik Whitfield は、調査対象となった保険会社の82%が、保険料の上昇は今後も続くと予想していると述べている。彼は、「ランサムウェアのコスト増が保険料を引き上げており、攻撃回数の増加だけでなく、攻撃の成功回数も増えているため、保険に加入することが難しくなり、より高額になっている」と説明している。

その一方で、調査対象となった保険会社の87%は、サイバーリスクの分析について、より一貫したアプローチを求めていると回答している。 Nik Whitfield は、「保険会社は、リスクを評価するために、より良い情報を必要としている。アンケートでは不十分なのだ。自動車保険のテレマティクスのように、保険会社がリスクを正確に評価するためには、顧客からセキュリティ対策に関するリアルタイム・データを入手することが必要だ」と指摘している。

この調査によると、想定される顧客のセキュリティ体制を評価する際に、最も重要な要素はクラウド・セキュリティであると、回答者の 40% が挙げている。続いて、セキュリティ意識 (36%)/アプリケーション・セキュリティ (32%)/脆弱性管理 (31%)/特権アクセス管理 (31%)/パッチ管理 (30%) の順となっている。

Whitfield は、「この市場における課題の1つとして、多くの企業が自社のセキュリティ体制の内部構造に関する特権情報を渡すことに、強い躊躇いを持っている。セキュリティ情報を他者と共有することは、セキュリティ・リスクを生むことになり、セキュリティ・ポスチャーに関する情報を他人に公開するという危殆性を感じさせるからだ」と指摘している。

最悪の場合、十分な情報を提供できないために保険に加入できない企業や、適正な価格の保険に加入できない企業も出てくるという。

Whitfield は、「そのような場合、証拠や情報を提供し、保険会社と協力してセキュリティ体制を改善するなどの対応が必要になるだろう。保険会社にとっては、リスクが高ければ高いほど、保険料が上がり、保険を提供しやすくなる。サイバー保険も同じである」と指摘している。

サイバー保険市場は保険料設定に迷っている

今回の調査では、数多くの保険会社が、サイバー・セキュリティ保険の価格設定方法について、明確な答えを持っていないことも示された。全回答者の 47% が引受プロセスに [非常に自信がある] と答えた一方で、44% は [ある程度自信がある] としか答えていない。Whitfield は、「自社のモデルに自信を持っている保険会社がある一方で、保険の価格設定方法を理解しているとは言い難いという、相反する結果が出ている。それは、時間とともに進化していくだろう。しかし、その方法をオープンにして、市場と対話する必要がある」と述べている。

サイバー・セキュリティに関して言うなら、過去における予測因子が、決して良いものでなかったことが、問題を複雑にしている。Whitfield は、「ある種のリスクにおいては、過去に起こったことを振り返ることで、将来に起こることを予測できる。しかし、サイバーの場合は、そうではない。私たちは、積極的な敵対者を持っている。私たちの環境にアクセスするための、新しいツール/テクニック/手順や、新しいマルウェア、新しいアプリケーションがある。そのため、過去から未来を予測することが困難になる。それが、保険会社の価格決定を難しくしている」と述べている

保険会社やブローカーは、攻撃の頻度と深刻度が増す一方で、グローバルな性質を帯びた複雑化した脅威の状況に直面し、高額な保険料の請求や、高い要件の設定を行っている。

2021年10月に実施され、2022年1月に結果が発表された Kaspersky の調査では、サイバー保険への投資はプロアクティブな傾向として高まっており、回答者の 28% が $25,000〜$50,000/年の範囲で投資していると回答している。

Whitfield の見解は、「サイバー・セキュリティの脅威の見通しは、良くなる前に悪くなっていく。企業にとってのリスクは増大し、ここ数年は、侵害の件数と侵害に伴うコストが着実に上昇している」と述べている。

では、保険業界は、どのようにしてビジネスをサポートし、それと同時に利益を上げることができるのだろうか。彼は、「そのためには、被保険者と保険会社のパートナーシップが必要になる。また、セキュリティ対策について、組織の意見を聞くためのアンケートではなく、証拠によって解決する必要がある」と指摘している。 

つまり、保険会社は、効率的かつタイムリーな方法で、信頼できる高品質のデータを入手し、組織のセキュリティ・ポスチャーに関する、確かなデータを入手する必要があるのだ。Whitfield は、「これこそが、サイバー保険業界における真の革命となるだろう」と述べている。

過去から未来を予測できないという点が、サイバー保険の難しさなんでしょう。この種の記事は少ないのですが、これまでに、3月24日の「サイバー保険の現状:ウクライナ侵攻と戦争免責の関係は慎重に考えるべき」や、4月8日の「保険会社とランサムウェア:上位 99社のうち 18% が影響を受けやすい状況にある」などがあります。また、4月28日の「ランサムウェアの調査:全体的な損失の 約 15% が身代金の平均値」も、関連情報となるでしょう。よろしければ、ご参照ください。

%d bloggers like this: